‌
پخش زنده‌ی شکار آسیب‌پذیری، #زیر_نور_شب آغاز شد!

🌐 twitch.tv/ravro
‌
@Ravro_ir
‌

‌
در آخرین روز نمایشگاه اینوتکس 2022، در غرفه‌ی 205 در سالن 2 ، چه می‌گذرد؟
‌
@Ravro_ir
‌

#اینفوگرافیک

🔺مهم‌ترین نشت‌های سال گذشته (فروردین 1400 تا 1401)

🆔 @leakfarsi

‌
‌
📚 داستان علاقه‌مندی به هک برای هر هکری از نقطه‌ای آغاز می‌شود...
‌
اولین خط‌های داستان علاقه‌مندی علی امینی به هک را بشنوید.

متن گپ‌وگفت مفصل ما با علی امینی را، در #بلاگ راورو بخوانید:
‌
🌐 گپ‌وگفتی با متخصص دنیای صفرویک‌ها؛ علی امینی
‌
@Ravro_ir
‌

‌
🏹 در #پخش_زنده‌ شکار آسیب‌پذیری این هفته،
قرار است به سراغ باگ‌هایی برویم که با وجود impactهای خوبی که دارند، اما کم‌تر مورد توجه قرار می‌گیرند؛
آسیب‌پذیری‌های DOM

👤برنا نعمت‌زاده که به این نوع باگ‌ها علاقه دارد، قرار است که ما را با آن‌ها آشناتر کند.

🗓 پنج‌شنبه، 5 و 19 خرداد
🕘 ساعت 21

در قسمت اول، 5 خرداد، برنا به آموزش و حل مثال‌هایی از این آسیب‌پذیری می‌پردازد.
قسمت دوم، 19 خرداد، وقت شکار است... ؛)

به تماشا دعوتید:
‌
🌐 اطلاعات بیش‌تر
‌
@Ravro_ir
‌

‌
‌
👤 شکارچی آسیب‌پذیری #پخش_زنده این هفته؛ برنا نعمت‌زاده

7 سالی است که در حوزه‌ی امنیت سایبری فعالیت می‌کند.

رودمپ کلی‌ای برای مسیرش درنظر گرفته بوده است:
اول "مفاهیم لازم و ابتدایی امنیت سایبری " را یاد بگیرد
بعد با دید یک " دولوپر وب" آشنا شود و حتی یک نمونه را پیاده‌سازی کنه تا ببیند که اجزای یک اپلیکیشن چطور کار می‌کنند.
بعد به‌سراغ دید یک "پن‌تستر " برود
و در نهایت به‌سراغ دید یک " شکارچی آسیب‌پذیری"

برنا قرار است که در پخش زنده‌ی این هفته، به تحلیل، آموزش و حل مثال‌هایی در رابطه با آسیب‌پذیری‌های DOM بپردازد.

🗓پنج‌شنبه‌، 5 خرداد
🕘ساعت 21

🌐 اطلاعات بیش‌تر
‌
@Ravro_ir
‌

‌
برنا نعمت‌زاده می‌گوید:
" خاطره‌های زیادی از شکارهایم دارم. ولی در بین تمام آسیب‌پذیری‌هایی که کشف کرده‌ام، آسیب‌پذیری‌های منطقی و DOM-based که روی سرویس‌های خاص کشف کردم، براش جایگاه ویژه‌ای دارند."

امشب هم، برنا قرار است که در #پخش_زنده‌، به تحلیل آسیب‌پذیری‌های DOM بپردازد.

🗓پنج‌شنبه‌، 5خرداد
🕘ساعت 21

🌐 کانال توییچ راورو

#هک #امنیت_سایبری #هکر_کلاه_سفید
‌
@Ravro_ir

📢 تغییرات و بهبودها
در #به_روز_رسانی جدید #راورو ؛ نسخه‌ی 2.2.0


❓چه امکاناتی در به‌روزرسانی جدید اضافه شده‌اند؟

• با اضافه‌شدن امکان "چت‌باکس" ، شکارچیان و میدان‌ها می‌توانند در صفحه‌ی هر گزارش، درباره‌ی گزارش مربوطه به گفت‌وگو بپردازند.

• با اضافه‌شدن صفحه‌ی "security.txt" ، شکارچیان آسیب‌پذیری و مخاطبان می‌توانند در صورت تمایل، آسیب‌پذیری‌های کشف‌کرده‌ی خود از سامانه‌ی پلتفرم باگ‌بانتی راورو را مطابق با استانداردهای جهانی به‌صورت مستقیم به اطلاع راورو برسانند.


❓چه امکاناتی در به‌روزرسانی جدید بهبود داده شده‌اند؟

• قالب وب‌سایت بهبود داده شده است.

• ساختار ظاهری صفحات "شکارچی‌ها"،"میدان‌ها"،"اهداف"و "گزارش‌های شکار" تغییر داده شده‌اند.

• فرم‌های ثبت گزارش آسیب‌پذیری، ثبت هدف و قوانین، تغییر کرده است؛
فیلدهای ورودی هر کدام از این فرم‌ها ضابطه‌مندتر شده‌اند. پشتیبانی Markdown به این فرم‌ها افزوده شده است و امکان ذخیره‌ی پیش‌نویس گزارش برای فرم ثبت گزارش نیز فراهم شده است.


❓چه مواردی در به‌روزرسانی جدید تغییر کرده‌اند؟

• از این پس شکارچیان تنها با مراجعه به صفحه‌ی هدف، می‌توانند به ثبت گزارش برروی آن هدف، بپردازند. امکان ثبت گزارش از طریق مراجعه به صفحه‌ی میدان، حذف شده است.


می‌توانید تغییرات هر نسخه‌ی راورو را، از طریق صفحه‌ی #گزارش_تغییرات راورو دنبال کنید:

🌐 Ravro.ir/changelog

@Ravro_ir

‌
👤 محقق امنیتی؛ رامین فرج‌پور

🐞در این ویدئو آسیب‌پذیربودن درگاه پرداخت نسبت به آسیب‌پذیری DoS یا همان Denial of Service را بررسی می‌کند؛
آیا می‌شود در دسترسی‌پذیری درگاه برای کاربران مجازش، اختلال ایجاد کرد؟ آیا اختلالی در ظرفیت خرید کالا، بلیت یا ... پیش می‌آید؟
‌
@Ravro_ir
‌

‌
الوعده، وفا. ؛)

همان‌طور که قولش را داده بودیم، این هفته نوبت پخش زنده‌ی شکار آسیب‌پذیری ست...🏹

👤برنا نعمت‌زاده قراراست که ما را به شکار آسیب‌پذیری‌های DOM ببرد.

🗓پنج‌شنبه، 19 خرداد
🕘ساعت 21

🌐 اطلاعات بیش‌تر
‌
@Ravro_ir
‌‌

برای #پخش_زنده شکار آسیب‌پذیری آماده‌اید؟
‌
قرارمون:
امشب، ساعت ۲۱
زیر نور شب ✨
‌
‌
🌐 کانال توییچ
‌
@Ravro_ir

💥 #پخش_زنده‌ شکار آسیب‌پذیری DOM با برنا نعمت‌زاده آغاز شد!
‌
🌐 کانال توییچ

‌
🎙گپ‌وگفتی با پردرآمدترین شکارچی‌ راورو در سال 1400 داشته‌ایم: مهدی مرادلو

👤 مهدی اهل زنجان است

یک سالی ست که به‌طورتخصصی در حوزه‌ی امنیت سایبری مشغول به فعالیت است.

در بین شکارچی‌های آسیب پذیری راورو، بیش‌ترین تعداد گزارش را با موضوع آسیب‌پذیری‌های درگاه‌های پرداخت، ثبت کرده است.

معتقد است :"‌بعد از یک مدت، هیجان و اهمیت کشف آسیب پذیری و دریافت بانتی کم‌‌رنگ‌تر می‌شود. و سناریویی که داری اجرا می‌کنی، از بانتی و باگ برایت جذاب‌تر می‌شود. من به مرور در کارهایم متوجه می‌شوم که این‌ سناریوها، راه‌های مختلف و ... هی دارند تکمیل‌تر می‌شوند... مثلا داری سناریوی قبلی را انجام می‌دهی و به جایی می‌رسی که قبلا انجامش نداده‌ای و باید سناریوی جدیدی را امتحان کنی. من گاهی برای تست یک آسیب پذیری، 30،40 تا سناریو را امتحان کرده‌ام! "

در #بلاگ راورو بخوانید:

🌐 گپ‌وگفتی با پردرآمدترین شکارچی راورو در سال 1400؛ مهدی مرادلو
‌
@Ravro_ir
‌
‌

‌

❓" آیا حفره‌های امنیتی موجود در درگاه‌های پرداخت منجر به نشت دیتا هم می‌شوند؟"

🎙پاسخ مهدی مرادلو، که بیش‌ترین گزارش‌های آسیب‌پذیری مربوط به درگاه‌های پرداخت را در پلتفرم باگ بانتی راورو ثبت کرده است، را بشنوید.

متن کامل #گپ_و_گفت ما با مهدی مرادلو را می‌توانید در #بلاگ راورو بخوانید.

🌐 گپ‌وگفتی با پردرآمدترین شکارچی راورو در سال 1400؛ مهدی مرادلو
‌
@Ravro_ir
‌

‌
👤 محقق امنیتی؛ رامین فرج‌پور

🐞در این ویدئو آسیب‌پذیربودن درگاه پرداخت نسبت به آسیب‌پذیری Race Condition را بررسی می‌کند؛
اگر تلاش کنیم که درخواست‌هایی را به صورت هم‌زمان ارسال کنیم، چه اتفاقی می‌افتد؟
‌
@Ravro_ir
‌

‌‌‌
❓چه آسیب‌پذیری‌هایی در درگاه‌های پرداخت ایرانی، رایج‌ترند؟

💵 5 آسیب‌پذیری رایج درمیان گزارش‌های آسیب‌پذیری ثبت‌شده‌‌‌‌‌ی مربوط به درگاه‌های پرداخت، در اهداف پلتفرم باگ‌بانتی راورو، را بشناسید.
‌
@Ravro_ir
‌

‌
🐞 ما در کتابچه‌ی راهنمای برنامه‌نویسی امن
به معرفی ۷ کُلُنی مرکزی باگ‌‌های امنیتی در سامانه‌های ایرانی پرداخته بودیم.
‌
🕸 همان‌طور که در این گزارش نیز به آن اشاره کرده بودیم؛
"درگاه‌های پرداخت" یکی از کُلُنی‌های رایج باگ‌های امنیتی در سامانه‌های ایرانی هستند.

اگر مایلید با این کلنی و 6 کلنی دیگر باگ‌های امنیتی آشنا شوید، شما را به خواندن این کتابچه دعوت می‌کنیم:

📙 کتابچه راهنمای برنامه‌نویسی امن
‌
@Ravro_ir
‌